新経済連盟など国内のインターネット関連業界団体は2017年3月2日、EU(欧州連合)の「データ保護規則(GDPR)」に関する勉強会を合同で開催した。日本企業で初めてEUのデータ保護機関から個人データの取り扱いで包括的な承認を得た楽天の担当者が講師を務め、承認までのエピソードを披露した。

 勉強会を主催したのは、新経済連盟のほか、日本IT団体連盟とアジアインターネット日本連盟の3団体。楽天 ITセキュリティガバナンス部 グローバルプライバシーオフィスの柳池剛・オフィスマネージャーが講師を務めた。柳池氏はデータ保護機関との生々しいやり取りを明かし、参加者は熱心に聞き入っていた(写真)。

写真●インターネット関連業界団体が開催した勉強会の模様
写真●インターネット関連業界団体が開催した勉強会の模様
[画像のクリックで拡大表示]

楽天がBCRを申請した理由は二つ

 EUは2018年5月に適用するGDPRで、個人データの処理や移転などに強い制約を設けている。違法な個人データの越境移転などに対して、最高で全世界の年間売上高の4%に相当する制裁金を課す。

 日本企業が欧州法人の従業員の人事データを日本で扱う場合、EU各国のデータ保護機関(DPA)から「欧州と同じ基準でプライバシーの保護をしている」という承認を得る必要がある。日本は個人データについて十分な保護水準にあるという、EUの「十分性認定」を受けていないからだ。